jadx
使用 jadx 反編譯 Android APK
當位元碼和資源難以檢查時,Android APK 審查會變得緩慢。此技能會引導 Claude、Codex 和 Claude Code 透過 jadx 工作流程進行可讀原始碼分析。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
Agent 可讀資源
當 AI Agent、爬蟲或腳本需要乾淨脈絡、而不是讀取完整頁面時,請使用這些連結。
測試它
正在使用「jadx」。 Decompile app.apk and tell me where to begin.
預期結果:
此技能會建議使用去混淆進行反編譯,接著審查 sources、resources、AndroidManifest.xml,以及可能的 entry-point classes。
正在使用「jadx」。 Find security issues in the decompiled app.
預期結果:
- 憑證和 token 搜尋計畫
- Endpoint 和 API 探索計畫
- Crypto、storage、WebView 和 manifest 審查檢查清單
正在使用「jadx」。 The output is obfuscated and some methods failed.
預期結果:
此技能會建議 deobfuscation options、fallback mode、showing bad code,並將結果與 apktool 或 runtime analysis 比較。
安全審計
中風險The static analyzer flagged many shell, secret, crypto, and reconnaissance terms, but review shows they are examples in a jadx usage guide. The confirmed risk is legitimate but sensitive external command guidance for decompiling APKs and searching extracted source, which requires authorization and careful path handling.
中風險問題 (1)
低風險問題 (3)
風險因素
偵測到的模式
品質評分
你可以打造什麼
審查行動應用程式中的機密
反編譯已授權的 APK,並搜尋擷取出的原始碼,以找出硬編碼憑證、token、URL 和儲存風險。
了解 Android 應用程式行為
將 DEX 位元碼轉換為可讀 Java,並追蹤 activities、services、API 和驗證流程。
分析 IoT 配套應用程式
從 IoT 行動應用程式中擷取裝置 endpoints、探索邏輯和協定線索。
試試這些提示
使用 jadx skill 反編譯這個已授權的 APK。說明輸出資料夾,並列出我應該先檢查的檔案。
使用 jadx workflow 搜尋反編譯後的原始碼,以找出 API keys、credentials、tokens、URLs 和 database connection strings。
引導我在 jadx output 中尋找 login、authorization、JWT、bearer token 和 API client code。
為這個混淆過的 APK 建立一份以 jadx 為基礎的審查計畫,包含 deobfuscation、crypto checks、WebView checks、storage checks 和 runtime validation steps。
最佳實務
- 僅反編譯你擁有或已取得明確授權可評估的 APK。
- 針對生產環境應用程式使用去混淆,並保持原始 APK 不變。
- 在回報前,透過人工審查和執行階段測試確認靜態分析發現。
避免
- 不要在未檢查檔案路徑和輸出目錄的情況下執行產生的命令。
- 不要將反編譯後的 Java 視為完全精確的原始原始碼。
- 不要在未經授權的情況下散布專有的反編譯原始碼。